Kebocoran Data 15 Juta Pengguna, Pengakuan Tokopedia, dan Analisis Ahli

Komentar ahli keamanan siber

Tokopedia mengklaim data penggunanya tetap aman meski ada usaha peretasan. Namun benarkah data pengguna Tokopedia aman?

Untuk memastikan hal ini, KompasTekno pun menghubungi praktisi keamanan siber dari Vaksin.com, Alfons Tanujaya terkait dugaan pembobolan akun Tokopedia ini.

Menurut Alfons, data yang tersebar tersebut memang benar merupakan database pengguna Tokopedia.

Kendati demikian menurut Alfons, hanya username saja yang terpapar, sementara password-nya di-hash. Secara teknis, hash sulit untuk dipecahkan.

"Data hash kira-kira mirip seperti data password yang dienkripsi dengan public key, dan yang terlihat adalah data yang sudah diacak dan pengacakan itu satu arah," tutur Alfons.

Baca juga: Data 91 Juta Pengguna Tokopedia dan 7 Juta Merchant Dilaporkan Dijual di Dark Web

"Kalau mau membandingkan kekuatan hash, kira-kira seperti diminta untuk mendekripsi data yang dienkripsi oleh ransomware," kata Alfons.

Sebagai informasi, hash adalah suatu metode enkripsi yang dapat mengubah data yang di input berupa teks (semacam password) menjadi output seperti kode acak.

"Dan server bekerja sebenarnya bukan mendekripsi data tetapi hanya membandingkan data password yang sudah di-hash," ungkap Alfons.

Alfons kemudian memberikan contoh sederhana. Misalnya, apabila password-nya adalah "12345", lalu di-hash akan menjadi "ker2k3k".

Maka server akan membandingkan password yang disimpannya, dan hanya melihat apakah hash dari password yang dimasukkan itu benar "ker2k3k".

"Jadi tidak pernah didekripsi. Jadi sekalipun admin server-nya sendiri mengkopi data, dia dapatnya "ker2k3k" dan tidak bisa digunakan untuk login karena itu sudah di-hash," pungkas Alfons.

Baca juga: Cara Ganti Password, Aktifkan 2FA, dan Hapus Akun Pembayaran di Tokopedia yang Diduga Bocor Datanya

Penjelasan di atas mengasumsikan password diamankan dengan metode hashing. Belakangan diketahui data password pengguna Tokopedia yang tersebar tersebut diamankan menggunakan metode salting.

Metode tersebut merupakan pengamanan tingkat lanjut dari metode hash. Metode salt ini disebut lebih aman ketimbang hash.

Inti dari pernyataan praktisi ini, password dari akun pengguna Tokopedia kemungkinan besar tetap aman sesuai klaim Tokopedia. Meski demikian, informasi penting lain milik pengguna bisa saja sudah dimiliki peretas dan dapat dimanfaatkan untuk kejahatan.

Langkah pertama yang perlu dilakukan pengguna adalah mengganti password dan mencopot layanan keuangan yang terhubung dengan akun Tokopedia.

Baca juga: Tips Membuat Password Paling Aman dari Pakar Sekuriti